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PROCEDE DE CONTRE-MESURE PAR MASQUAGE DE L' ACCUMULATEUR 
DANS UN COMPOSANT ELECTRONIQUE MET TAN T EN OEUVRE UN 
ALGORITHME DE CRYPTOGRAPHIE A CLE PUBLIQUE 



La presente invention concerne un procede de contre-mesure dans 
un composant electronique mettant en oeuvre un algorithme 
cryptographique a cle publique. 

5 Dans le modele classique de la cryptographie a cle secrete, 

deux personnes desirant communiquer par 1' intermediaire d'un canal 
non securise doivent au prealable se mettre d' accord sur une cle 
secrete de chiffrement K. La fonction de chiffrement et la 
fonction de dechif f rement utilisent la meme cle K. L' inconvenient 

10 du systeme de chiffrement a cle secrete est que ledit systerne 
requiert la communication prealable de la cle K entre les deux 
personnes par 1' intermediaire d'un canal securise, avant qu'un 
quelconque message chiffre ne soit envoye a travers le canal non 
securise. Dans la pratique, il est generalement difficile de 

15 trouver un canal de communication parfaitement securise, surtout 
si la distance separant les deux personnes est importante. On 
entend par canal securise un canal pour lequel il est impossible 
de connaitre ou de modifier les informations qui >transitent par 
ledit canal. Un tel canal securise peut etre realise par un cable 

20 reliant deux terminaux, possedes par les deux dites personnes. 

Le concept de cryptographie a cle publique fut invente par 
Whitfield Diffie et Martin Hellman en 1976 (IEEE Transactions on 
Information Theory, volume 22, numero 6, pages 644-654, 1976) . La 

2 5 cryptographie a cle publique permet de resoudre le probleme de la 
distribution des cles a travers un canal non securise. La 
cryptographie a cle publique est basee sur ' la difficulty de 
resoudre certains problemes (supposes) calculatoirement 
infaisables. Le probleme considere par Diffie et Hellman est la 

30 resolution du logarithme discret dans le groupe multiplicatif d'un 
corps fini. 
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On rappelle que dans un corps fini, le nombre d 1 elements du corps 
s'exprime toujours sous la forme q A n, ou q est un nombre premier 
appele la caracteristique du corps et n est un nombre entier. Un 
corps fini possedant q A n elements est note GF(q^n). Dans le cas ou 
5 le nombre entier n est egal a 1, le corps fini est dit premier. Un 
corps possede deux groupes : un groupe multiplicatif et un groupe 
additif. Dans le groupe multiplicatif, 1' element neutre est note 1 
et la loi de groupe est notee multiplicativement par le symbole . 
et est appelee multiplication. Cette loi definit 1' operation 
10 d' exponentiation dans le groupe multiplicatif G: etant donne un 
element g appartenant a G et un entier d, le resultat de 
1 ' exponentiation de g par d est l'element y tel que 
y=g d =g.g.g g (d fois) dans le groupe G. 

15 Le probleme du logarithme discret dans le groupe 

multiplicatif G d'un corps fini consiste a trouver, s'il 
existe, un entier d tel y=g A d, etant donne deux elements y 
et g appartenant a G. 

20 Ainsi, il est possible pour deux personnes de 

construire une cle commune K. Une personne A choisit un 
nombre aleatoire a, calcule la demi-cle K a =g A a dans G et 
envoie K a a une personne B. De la meme fagon, B choisit un 
nombre aleatoire b, calcule la demi-cle K b =g A b dans G et 

25 envoie K b a A. Ensuite, A calcule K=K b "a et B calcule 
K=K a ^b. De fagon remarquable, seules les personnes A et B 
sont capables de construire la cle commune K=g A (ab) . 

En plus de l'echange de cles, la crypt ographi e a cle 
30 publique permet le chiffrement des donnees, la signature 
numerique, 1 ' authentif ication ou 1 ' identification . De 
nombreux systemes cr yptogr aphiques bases sur le probleme du 
logarithme 'discret sont presentes dans « Handbook of 
Applied Cryptography » par Alfred Menezes, Paul van 



WO 2004/111831 PCT/EP2004/051144 

3 



Oorschot et Scott Vanstone, CRC Press, 1997. On note a 
titre d'exemple le chiffrement d'El Gamal ou la signature 
numerique DSA . 

5 D'autres groupes ont ete envisages pour implementer 

des analogues aux systemes cr yp togr aphiques construits dans 
le groupe multipli ca t i f d'un corps fini. En 1985, Victor 
Miller et Neal Koblitz ont independammen t propose 
1 ' utilisation de courbes elliptiques dans des systemes 

10 cryptographiques. L'avantage de systemes cryptogr aphique s a 
base des courbe elliptiques est qu'ils fournissent une 
securite equivalente aux autres systemes cryptographiques 
mais avec des tailles de cle moindres . Ce gain en taille de 
cle implique une diminution des besoins en memoire et une 

15 reduction des temps de calcul, ce qui rend 1 ' utilisation 
des courbes elliptiques particulierement adaptees pour des 
applications de type carte a puce. 

Pour memoire, une courbe elliptique sur un corps fini 
20 GF(q A n) est l'ensemble des points (x,y) appartenant a 
GF (q A n) verifiant 1' equation : 

y A 2 + aixy + a 3 y = + a 2 x A 2 + a 4 x + a 6 , avec ai dans GF(q^n) 

et du point a l'infini 0. Toute courbe elliptique sur un corps 
peut s'exprimer sous cette forme. 

25 • 

L'ensemble des points (x,y) et le point a l'infini forment un 
groupe abelien, dans lequel le point a l'infini est 1' element 
neutre et dans lequel 1' operation de groupe est 1' addition de 
points, notee + et donnee par la regie bien connue de la secante 
30 et de la tangente (voir par exemple « Elliptic Curve Public Key 
Cryptosystems » par Alfred Menezes, Kluwer, 1993) . Dans ce groupe, 
la paire (x,y), ou l'abscisse x et 1 ' ordonnee y sont des elements 
du corps GF (q A n) , forme les coordonnees affines d'un point P de la 
courbe elliptique . 
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II existe 2 procedes pour representer un point d' une courbe 
elliptique : 

- Premierement , la representation en coordonnees affines 
5 / dans ce procede, un point P de la courbe elliptique 

est represents par ses coordonnees (x,y) ; 

- Deuxiement, la representation en coordonnees 
pro j ec t ives . 

10 L'avantage de la representation en coordonnees projectives 
est qu'elle permet d'eviter les divisions dans le corps 
fini, lesdites divisions etant les operations les plus 
couteuses en temps de calcul. 



15 La representation en coordonnes projectives la plus 
couramment utilisee, dite jacobienne, est celle consistant 
a representer un point P de coordonnees affines (x,y) sur 
la courbe elliptique par les coordonnees (X,Y,Z), telles 
que x=X/Z A 2 et y=Y/Z A 3. La representation jacobienne d'un 

20 point n'est pas unique parce que le triplet (X,Y,Z) et le 
triplet (A, A 2.X, X A 3.Y, X.Z) representent le meme point quel ' 
que soit 1' element non-nul X appartenant au corps fini sur 
lequel est defini la courbe elliptique. 



25 Une autre representation en coordonnees projectives, dite 
homogene, consiste a representer un point P de coordonnees 
affines (x,y) sur la courbe elliptique par les coordonnees 
(X,Y,Z), telles que x=X/Z et y=Y/Z. La representation 
homogene d'un point n'est pas unique parce que le triplet 

30 (X,Y,Z) et le triplet (X.X, X.Y, X.Z) representent le meme 
point quel que soit 1' element non-nul X appartenant au 
corps fini sur lequel est defini la courbe elliptique. 
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L' operation d' addition de points permet de definir une 
operation d' exponent iat ion sur courbe elliptique : etant 
donne un point P appartenant a une courbe elliptique et un 
entier d, le resultat de 1 7 exponent iat ion de P par d est le 
5 point Q tel que Q=d* P = P + P+... + P (d fois) . Dans le cas des 
courbes elliptiques, afin d'insister sur la notation 
additive, 1 ' exponentiation est encore appelee 

multiplication scalaire. 

10 La securite des algorithmes de crypt ographie sur courbes 
elliptiques est basee sur la difficulty du probleme du 
logarithme discret dans le groupe G forme par les points 
d'une courbe elliptique, ledit probleme consistant a partir 
de deux points Q et P appartenant a G, de trouver, s'il 

15 existe, un entier d tel que Q=d*P. 

II existe de nombreux algorithmes cr yptogr aphi ques 
bases sur le probleme du logarithme discret. Ainsi, il est 
possible de mettre en ceuvre des algorithmes assurant 
20 1 ' authentif ication, la con f ident ialite , le controle 
d'integrite et l'echange de cle. 

Un point commun a la plupart des algorithmes 
cryptographiques bases sur le probleme du logarithme 

25 discret dans un groupe G est qu'ils comprennent comme 
parametre un element g appartenant a ce groupe. La cle 
privee est un entier d choisi alea to irement La cle 
publique est un element y tel que y=g A d. Ces algorithmes 
cryptographiques font generalement intervenir une 

30 exponentiation dans le calcul d'un element z = h A d ou d est 
la cle secrete et h est un element du groupe G. 

Dans le paragraphe ci-dessous, on decrit un algorithme 
de chiffrement base sur le probleme du logarithme discret 
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dans un groupe G, note mult ipl i c at i vement . Ce schema est 
analogue au schema de chiffrement d'El Gamal. Soient un 
groupe G et un element g dans G. La cle publique de 
chiffrement est y=g A d et la cle privee de dechi f f rement est 
5 d. Un message m est chiffre de la maniere suivante. 

Le chiffreur, ou personne desirant chiffrer un 
message, choisit un entier k aleatoirement et calcule les 
elements h=g A k et z=y A k dans le groupe G, et c = R(z)© m ou 
R est une fonction appliquant les elements de G sur 
10 r ensemble des messages et © designe l'operateur du OU 
exclusif. Le chiffre correspondant a m est la paire (h,c). 

Le dechiffreur, ou personne desirant dechif f rer un 
message, qui possede la cle secrete d dechiffre m en 
calculant : 

15 z ' = h /s d=g /N (k . d) =y"k et m=R(z')© c. 



Pour realiser les exponentiations necessaires dans les 
procedes de calcul decrits pre cedemmen t , plusieurs 
20 algorithmes existent : 

- algorithme d 7 exponentiation binaire gauche-dr oi t e ; 
algorithme d' exponentiation k-aire gauche -droite ; 
algorithme d' exponentiation modifie k-aire gauche- 
droi te ; 

25 - algorithme d' exponentiation avec fenetres glissantes 

gauche-droite ; 

- algorithme d' exponentiation en representation signee 
de 1 ' exposant . 

30 Ces algorithmes sont detailles dans le chapitre 14 de 
« Handbook of Applied Cryptography » par A.J. Menezes, P.C. 
van Oorschot et S.A. Vanstone, CRC Press, 1997. Cette liste 
n' est pas exhaustive. 
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L ' algorithme le plus simple et le plus utilise est 
1 ' algorithme d' exponentiation binaire gauche -droite . 
L' algorithme d' exponentiation binaire gauche-droi te prend 
5 en entree un element g d'un groupe G et un exposant d. 
L'exposant d est note d= ( d ( t ), d ( t- 1 ),..., d ( 0 )) , ou (d(t),d(t- 
1 ) , ... , d ( 0 ) ) est la representation binaire de d, avec d(t) le 
bit le plus significatif et d(0) le bit le moins 
signif icatif . L ' algorithme retourne en sortie 1' element 
10 y=g /s d dans le groupe G. 

L ' algorithme d' exponentiation binaire gauche -droite 
comporte les 3 etapes suivantes : 

15 1) Initialiser le registre A avec 1' element neutre de G 

2) Pour i allant de t a 0 executer : 
2a) Remplacer A par A A 2 

2b) Si d(i)=l remplacer A par A.g 

3 ) Retourner A . 

20 

L'algorithme d' exponentiation k-aire gauche-droi te prend en 
entree un element g d'un groupe G et un exposant d note 
d= (d (t) , d <t-l) , d{0)), ou (d (t) ,d(t-l) ,...,d(0) ) est la 
representation k-aire de d, c' est-a-dire chaque chiffre 
25 d(i) de la representation de d est un entier compris entre 
0 et 2 /N k-l pour un entier k>l , avec d(t) le chiffre le plus 
significatif et d(0) le chiffre le moins significatif. 
L'algorithme retourne en sortie l'element y=g A d dans le 
groupe G et comporte les 4 etapes suivantes : 

30 

1 ) Precal cul s : 

la) Definir gi=g 

lb) Si k>2, pour i allant de 2 a (2 A k-l) : calculer 
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2 ) Initialiser le registre A avec l f element neutre de G 

3) Pour i allant de t a 0 executer : 
3a) Remplacer A par A A (2 A k) 

3b) Si d(i) est non-nul, remplacer A par A.gi 

5 4 ) Retourner A . 

Dans le cas ou k est egal a 1, on remarque que 1 ' al gori thme 
d' exponentiation k-aire gauche-droite n'est autre que 
l'algorithme d' exponentiation binaire gauche-droite. 

L'algorithme d' exponent iat ion k-aire gauche-droite peut 
etre adapte pour prendre en entree une representation 
signee de l'exposant d. L'exposant d est donne par la 
representation { d ( t ), d ( t- 1 ),..., d ( 0 ) ) dans laquelle chaque 
chiffre d(i) est un entier compris entre -<2 A k-l) et 2 A k-l 
pour un entier k>l , avec d{t) le chiffre le plus 
significatif et d(0) le chiffre le "moins signif icatif . 
L'etape 3b de l'algorithme precedent est alors remplacee 
par 

3b' ) Si d(i) est strictement positif, remplacer A par 
A.gx ; et si d(i) est strictement negatif, 
remplacer A par A.(gi) A (-l) 

25 Cette adaptation est par t i cul ierement interessante quand 
1'inverse des elements g lf note (g i ) /N (-l) / est facile ou 
peu couteux a calculer. Ceci est par exemple le cas dans le 
groupe G des points d'une courbe elliptique. Dans le cas ou 
1'inverse des elements g L n'est pas facile ou trop couteux 

30 a calculer, leur valeur est precalculee. 

L'algorithme d ' exponent i at ion modifie k-aire gauche-droite 
reduit les precalculs de l'algorithme d' exponentiation k- 
aire gauche-droite en ne calculant que g A 2 et les 
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puissances irapaires de g lorsque k>2 . II a les memes 
entrees que 1' algorithme exponentiation k-aire gauche- 
droite et retourne en sortie l'element y=g A d dans le groupe 
G. II comporte les 4 etapes suivantes : 

5 

1) Precalculs : 

la) Definir g a = g et calculer g 2 =g A 2 

lb) Pour i allant de 1 a (2 A (k-l)-l) : calculer 
g2 i+ i=g A (2i + l) 

10 2) Initialiser le registre A avec l'element neutre de G 

3) Pour i allant de t a 0 executer : 

3a) Si d(i)=0, remplacer A par A^(2 A k) 

3b) Si d(i) est non-nul, ecrire d{i)=2 A v.u avec u 

impair et remplacer A par [ A A ( 2 A ( k-v) ) . g u ] A ( 2 A v ) 
15 4 ) Retourner A . 

Tout comme 1' algorithme d' exponentiation modifie k-aire 
gauche-droite, 1' algorithme d' exponentiation avec fenetres 
glissantes gauche-droite reduit non seulement les 

20 precalculs mais aussi le nombre moyen de multiplications 
dans le groupe G. II prend en entree un element g d'un 
groupe G, un exposant d, note d= ( d ( t ), d (t-1 ),..., d ( 0 )) , ou 
(d ( t ), d ( t- 1 ),..., d ( 0 ) ) est la representation binaire de d et 
un entier k>l appele la largeur de la fenetre. II retourne 

25 en sortie l'element y=g /N d dans le groupe G et comporte les 
4 etapes suivantes : 

1 ) Precalculs : 

la) Definir g 2 = g et calculer g 2 = g /s 2 
30 lb) Pour i allant de 1 a (2 A (k-l)-l) : calculer 

g 2 i + i = g ,N (2i + l) 

2 ) Initialiser le registre A avec l'element neutre de G 
et le compteur i avec la valeur t 

3) Tant que i est positif ou nul executer : 
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3a) Si d(i)=0, remplacer A par A^2 et i par i-1 

3b) Si d(i)=l, ex£cuter : 

3b-l) Trouver la plus longue chaine binaire 
d{i) , d(i-l) , ...,d{ j) telle que i-j+l<k et d(j)=l 
5 3b-2) Definir u comme rentier ayant pour 

representation binaire (d{i),d(i-l),...,d(j)) 
3b-3) Remplacer A par A A ( 2 A ( i - j + 1 ) ) . g u et i par 

j-1 

4 ) Re tour ner A . 

10 

Les algorithmes d' exponentiation pour le calcul de 
y=g A d dans le groupe G decrits precedemment ainsi que leurs 
nombreuses variantes parcourt l'exposant d de la gauche 
vers la droite, c'est-a-dire de la position la plus 
15 significative vers la position la moins significative. De 
facon remarquable , on distingue deux types d'operations : 

- Les multiplications du registre A, appele 
accumul ateur , par lui-meme ; 

- Les multiplications du registre A par la valeur 
20 constante g ou une de ses puissances gi=g^i. 

Lorsque g (respectivement une des ses puissances g A ) 
presente une structure particulier e , la multiplication de 
1 1 accumula teur A par g dans le groupe G (respectivement une 
de ses puissances gi) peut etre substantiellement plus 
25 rapide que la multiplication de deux elements arbitraires 
de G . 

Notamment, lorsque le groupe G est le groupe mul tiplicatif 
du corps premier GF(q) et que g (respectivement une de ses 
30 puissances g A ) est represents comme un entier en simple 
precision, le calcul de A.g (respectivement A.gi) en multi- 
precision dans G peut se faire en un temps lineaire. Par 
exemple, si g est egal a 2, la multiplication de A par g=2 
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revient a additionner A avec lui-meme dans le groupe G : 
A.2=A+A. 

Les algorithmes d' exponentiation decrits precedemment 
5 sont donnes en notation multiplicative ; en d' autres mots, 
la loi de groupe du groupe G est notee . (multiplication) . 
Ces algorithmes peuvent etre donnees en notation additive 
en remplacant les multiplications par des additions ; en 
d r autres mots, la loi de groupe du groupe G est notee + 
10 (addition) . Ceci est par exemple le cas du groupe des 
points d'une courbe elliptique qui est le plus souvent 
donne sous forme additive. Dans ce cas, le cas de Q=d*P sur 
une courbe elliptique peut se calculer par n'importe lequel 
des algorithmes decrits precedemment en remplacant 
15 l'operation de multiplication par 1'addition de points sur 
ladite courbe elliptique. Simi 1 airement et de facon 
remarquable, on distingue deux types d' operations : 

- Les additions du registre A, appele accumu 1 a teur , par 
lui-meme ; 

20 - Les additions du registre A par la valeur constante P 

ou un de ses multiples Pi=i*P. 
Lorsque le point P ( respect ivement une des ses multiples 
Pi) a une structure part iculiere , 1'addition de 
1 ' accumulateur A par P ( respect ivement un de ses multiples 

25 Pi) peut etre subs tant iellement plus rapide que 1'addition 
de deux points arbitraires sur une courbe elliptique. 
Notamment, si le point P est represents en coordonnees 
projectives (de facon jacobienne ou homogene) par P=(X,Y,Z) 
avec la coordonnee en Z egale a 1, le nombre d' operations 

30 pour calculer 1'addition des points A et P en coordonnees 
projectives est reduit. 

II est apparu que 1 ' implement at ion sur carte a puce 
d'un algorithrne cr yp t ogr aphique a cle publique base sur le 



WO 2004/111831 



PCT/EP2004/051144 



12 



logarithme discret etait vulnerable a des attaques 
consistant en une analyse di f f erentie lie d'une grandeur 
physique permettant de retrouver la cle secrete. Ces 
attaques sont appelees attaques de type DPA , acronyme pour 
5 Differential Power Analysis et ont notamment ete devoilees par 
Paul Kocher (Advances in Cryptology - CRYPTO '99, volume 1966 de 
Lecture Notes in Computer Science, pages 388-397, Springer-Verlag, 
1999) . Parmi les grandeurs physiques qui peuvent etre exploitees a 
ces fins, on peut citer la consomrnation en courant, le champ 
10 electromagnetique . . . Ces attaques sont basees sur le fait que la 
manipulation d'un bit, c'est a dire son traitement par une 
instruction particuliere, a une empreinte particuliere sur la 
grandeur physique consideree selon sa valeur. 

15 En particulier, lorsqu'une instruction manipule une donnee 
dont un bit particulier est constant, la valeur des autres 
bits pouvant varier, l'analyse de la consomrnation de 
courant liee a 1' instruction montre que la consomrnation 
moyenne de r instruction n'est pas la meme suivant que le 

20 bit particulier prend la valeur 0 ou 1 . L'attaque de type 
DPA permet done d'obtenir des informations suppl emen tai r e s 
sur les donnees i n te rmedi aire s manipulees par le 
microproces seur du composant electronique lors de 
l'execution d'un algorithme cryptographique . Ces 

25 informations supplementaires peuvent dans certain cas 
permettre de reveler les parametres prives de l'algorithme 
cryptographique, rendant le systeme cryptographique 
vulnerable . 

30 Une parade efficace aux attaques de type DPA est de rendre 

aleatoire les entrees de l'algorithme d 1 exponentiation utilise 
pour calculer y=g A d. En d'autres termes, il s'agit de rendre 
1'exposant d et/ou 1' element g aleatoire. En notation additive, 
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dans le calcul de Q=d*P, il s'agit de rendre l'exposant d et/ou 
1' element P aleatoire. 

Des procedes de contre-mesure appliquant ce principe sont 
5 connus. De tels procedes de contre-mesure sont notamment decrits 
dans un article de Jean-Sebastien Coron (Cryptographic Hardware 
and Embedded Systems, volume 1717 de Lecture Notes in Computer 
Science, pages 292-302, Springer-Verlag, 1999) . 

10 Notamment, dans cet article, un procede de contre-mesure consiste 
a masquer le point P du groupe des points d' une courbe elliptique 
definie sur le corps GF(q A n) en utilisant des coordonnees 
projectives de ce point, definies de facon aleatoire. Dans 
1' article precite, on tire ainsi un nombre aleatoire X non-nul 

15 dans GF{q A n) et on represente le point P=(x,y) par des coordonnees 
projectives fonction de ce nombre aleatoire, par exemple sous la 
forme P=(A, A 2.x, A, A 3.y,X) en representation jacobienne, ou P=(k.x, 
\.y, X) en representation homogene . On applique I'algorithme 
d' exponentiation a ces coordonnees. On obtient une representation 

20 du point Q en coordonnees projectives, desquelles on deduit 
(calcule) les coordonnees af fines de ce point. 

Un autre procede de contre-mesure connu par 1'homme du metier 
pour masquer 1' element g du groupe multiplicatif G d'un corps fini 
GF(q A n) consiste a representer cet element dans une extension de 

25 GF { q A n ) , de fagon aleatoire. Par exemple, dans le cas d'un corps 
premier GF(q), une extension de GF (q) est donnee par l'anneau 
R=Z/(qk) obtenu en quotientant l'anneau des entiers Z par l'anneau 
qkZ pour un entier k donne. On tire alors un nombre aleatoire I*- 
dans l'anneau Z/ (k) et on represente 1' element g par g* = g+k.q. 

30 On applique l'algorithme d' exponentiation a l'element g' 
dans R et on obtient une representation de l'element 
y*=(g') A d dans R, de laquelle on deduit (calcule) la 

valeur de y=g*d dans G en reduisant y* modulo q. 
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Ce procede de contre-mesure s' applique egalement dans le 
cas d'un element g du groupe multiplicatif G d'un corps 
fini GF(q^n) avec n>l. Si le corps GF(q A n) est represents 
5 comme le quotient de l'anneau polynomial GF (q) [X] par un 
polynome irreductible p de degre n sur GF (q) , alors une 
extension de GF(q"n) est donnee par l'anneau 
R=GF(q) [X]/ (p.k) obtenu en quotientant l'anneau polynomial 
GF(q)[X] par le produit des polynomes p et k avec k donne. 

10 On tire alors un polynome aleatoire A,(X) dans l'anneau GF[X]/(k) 
et on represente 1' element g par g*=g+^.p. On applique 

l'algorithme d' exponentiation a 1'element g* dans R et on 
obtient une representation de 1'element y*=(g*) A d dans R, 
de laquelle on deduit (calcule) la valeur de y=g /N d dans G 

15 en reduisant y* modulo p(X). 

L' inconvenient de 1' ensemble de ces procedes rendant 'aleatoire 
g ou P decrits ci-dessus est que si 1'element g (respectivement P) 
du groupe G est rendu aleatoire dans le calcul de y=g"d 
(respectivement Q=d*P) , alors la structure particuliere de g 

20 (respectivement P) ne peut plus etre exploitee pour accelerer 
ledit calcul. 

Un objet de la presente invention est un procede de contre- 
mesure, notamment vis a vis des attaques de type DPA , 

25 

Un autre objet de 1 ' invention est un procede de contre-mesure 
aise a mettre en oeuvre. 

Par rapport aux procedes de contre-mesure connus, le procede 
30 propose presente l'avantage d'etre plus rapide pour proteger 
1' evaluation de y=g A d dans un groupe G note de facon 
multiplicative (respectivement 1' evaluation de Q=d*P si le groupe 
est note de facon additive) lorsque l'algorithme d' exponentiation 
utilise pour ce calcul est de type gauche-droite et que g 
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(respectivement P) a une structure particuliere ; les algorithmes 
d' exponentiation gauche-droite ayant la propriete remarquable 
d' avoir des operations de multiplication de l'accumulateur A 
par la valeur constante g ou une de ses puissances gi=g~i 
5 (respectivement des operations d' addition de 1' accumulateur A par 
la valeur constante P ou un de ses multiples Pi=i*P) . 

L'idee a la base de l 1 invention est de rendre aleatoire 
1' accumulateur A dans 1' algorithme d' exponentiation gauche-droite 

10 utilise. Ce procede de masquage peut se • faire au debut de 
1' algorithme ou encore de facon deterministe ou probabiliste 
durant 1' execution de 1' algorithme . Ainsi le calcul de y=g /N d dans 
le groupe G note de facon multiplicative (respectivement Q=d*P si 
le groupe G est note de facon multiplicative) est rendu aleatoire 

15 sans que la structure de 1' element g (respectivement P) ou une de 
ses puissances g i =g /N i (respectivement un de ses multiples Pj=i*P) 
ne soit alteree . 

L' invention concerne done un procede de cont re-mesure dans un 
20 composant electronique mettant en oeuvre un algorithme 

cryptographique a cle publique, comprenant un calcul 
d 1 exponentiation, avec un algorithme d' exponentiation de type 
gauche-droite, de type y=g~d ou g et y sont des elements du groupe 
determine G note de facon multiplicative et d est un nombre 
25 predetermine, caracterise en ce qu ' il comprend une etape de tirage 
aleatoire, au debut ou durant 1' execution dudit algorithme 
d' exponentiation, de facon deterministe ou probabiliste, pour 
masquer 1' accumulateur A de sorte que la structure de 1' element g 
ou une de ses puissances gi=g A i ne soit pas alteree. Ce procede 
30 s' applique de la meme fagon si le groupe G est note de facon 
additive . 
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D'autres caracteristiques et avantages de 1* invention sont 
presentees dans les descriptions suivantes, faites en reference a 
des modes de realisation particuliers . 

5 On a vu que 1 ' algorithme d' exponentiation le plus simple et le 

plus utilise dans un groupe G est 1' algorithme d' exponentiation 
binaire gauche-droite et que ce type d' algorithme est plus 
efficace lorsque 1' element de G en entree a une structure 
particuliere . Par ailleurs, la plupart des systemes 

10 cryptographiques dont la securite est basee sur le probleme du 
logarithme discret sont construits dans le groupe multiplicatif 
d' un corps fini GF (q) avec q premier ou dans le groupe des points 
d'une courbe elliptique definie sur un corps fini. 

15 Soit done G le groupe multiplicatif d'un corps fini GF (q) avec 

q premier et soit un algorithme d' exponentiation binaire gauche- 
droite prenant en entree un element g de G represents comme un 
entier en simple precision et un exposant d donne par la 
representation binaire (d (t) , d (t-1 ),..., d ( 0 )) , et retournant en 

20 sortie 1' element y=g A d dans le groupe G. Dans 1' invention, 
1' accumulateur dudit algorithme d' exponentiation est masque de 
fagon aleatoire. Ainsi, un procede de contre-mesure selon 
1' invention applique au groupe multiplicatif G d'un corps premier 
GF(q) peut s'ecrire comme suit : 

25 

1) Determiner un entier k definissant la securite du masquage 

2) Initialiser 1 ' accumulateur A avec 1' entier 1 

3) Pour i allant de t a 0, executer : 

3a) Tirer un entier aleatoire X compris entre 0 et k-1 et 
30 remplacer 1 ' accumulateur A par A + k.q (modulo k.q) 

3b) Remplacer A par A A 2 (modulo k.q) 
3c) Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 
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Typiquemment, le parametre de securite k est fixe a 32 ou 64 bits. 
De fagon remarquable a l'etape 3c, la multiplication se fait avec 
l'entier g represents en simple precision. 

5 De preference, le masquage de 1' accumulateur A a l'etape 3a ne se 
fait qu'au debut de 1 ' exponentiation . On obtient ainsi le procede 
de contre-mesure suivant : 

1) Determiner un entier k definissant la securite du masquage 
10 2) Tirer un entier aleatoire X compris entre 0 et k- 1 et 

initialiser 1 ' accumulateur A avec l'entier 1+X.q (modulo 
k.q) 

3) Pour i allant de t-1 a 0, executer : 

3a) Remplacer A par A A 2 (modulo k.q) 
15 3b) -Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 

De fagon remarquable a l'etape 3b, la multiplication se fait avec 
l'entier g represents en simple precision. 

20 

Une autre application interessante de 1' invention concerne 
1' exponentation dans le groupe G des points d' une courbe 
elliptique definie sur un corps fini GF(q A n). Dans ce groupe G, 
note de facon additive, 1' inversion d'un point P, notee -P, est 

25 une operation peu couteuse de sorte qu'il est interessant de 
remplacer 1'algorithme d' exponentiation binaire gauche-droite par 
sa version signee comme explique dans un article de Francois 
Morain et de Jorge Olivos (Theoretical Informatics and 
Applications, volume 24, pages 531-543, 1990) . Soit done G le 

30 groupe des points d'une courbe elliptique definie sur un corps 
fini GF(q A n) et soit un algorithme d' exponentiation binaire signe 
gauche-droite prenant en entree un point P represents en 
coordonnees af fines par P= (x, y) et un exposant d donne par la 
representation binaire signee (d (t+1) , d ( t) , d (0) ) avec d(i)=0, 1 
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ou -1 pour 0<i<t et d(t+l)=l, et retournant en sortie le point 
Q=d*P dans le groupe G en coordonnees af fines . Dans 1' invention, 
1' accumulateur dudit algorithme d' exponentiation est un triplet de 
valeurs dans GF(q A n) et est masque de facon aleatoire. Ainsi, un 
5 procede de contre-mesure selon 1' invention applique au groupe G 
des^ points d' une courbe elliptique definie sur un corps fini 
GF(q^n) peut s'ecrire comiue suit : 

1) I Initialiser 1 ' accumulateur A=(A X ,A Y ,A Z ) avec le triplet 
(x, y, 1) 

2) Pour i allant de t a 0, executer : 

2a) Tirer un element non nul aleatoire X dans GF(q A n) et 

remplacer 1 ' accumulateur A=(A X ,A Y ,A Z ) par 

(X"2 . A X ,A, A 3 ,A y/ X. A z ) 
2b) Remplacer A={A X ,A Y ,A Z ) par 2*(A X ,A Y ,A Z ) en 

representation jacobienne, sur la courbe 

ell ipt ique 

2c) Si d(i) est non-nul remplacer A=(A X/ A Y ,A Z ) par 
{A x ,A Y ,A z )+d(i)*(x,y,l) en representation jacobienne, 
sur la courbe elliptique 

3) Si A z =0 retourner le point a l'infini ; sinon 
retourner (A X /(A Z ) A 2, A Y / (A z ) A 3) . 

De facon remarquable a l'etape 2c, 1' addition sur la courbe 
25 elliptique se fait avec le point P=(x,y,l) dont la coordonnee en Z 
est egale a 1. 

De preference, le masquage de 1' accumulateur A a l'etape 2a ne se 
fait qu'au debut de 1 ' exponentiation . On obtient ainsi le procede 
30 de contre-mesure suivant : 
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1) Tirer un element non nul aleatoire X dans GF(q^n) et 
initialiser 1 ' accumu lat eur A=(A X ,A Y ,A Z ) avec le triplet 
(A, A 2 . x,A, A 3 . y , X) 

2) Pour i allant de t a 0, executer : 

5 2a) Remplacer A=(A X ,A Y ,A Z ) par 2*(A X ,A Y ,A Z ) en 

representation jacobienne, sur la courbe 

el 1 ipt ique 

2b) Si d(i) est non-nul remplacer A== (A x , A Y , A z ) par 
(A X/ A Y , A z ) +d (i) * (x, y, 1 ) en representation jacobienne, 
10 sur la courbe elliptique 

3) Si A z =0 retourner le point a l'infini ; sinon retourner 
(A x / (A z )^2 / A Y /(A z )-3) . 

De facon remarquable a l'etape 2b, 1' addition sur la courbe 
15 elliptique se fait avec le point P=(x,y,l) dont la coordonnee en Z 
est egale a 1 . 

Si les points de la courbe elliptique sont representes de facon 
homogene, les deux procedes de contre-mesure decrits precedemment 
20 deviennent respectivement : 

1) Initialiser 1 ' accumulateur A=(A X ,A Y ,A Z ) avec le triplet (x,y,l) 

2) Pour i allant de t a 0, executer : 

2a) Tirer un element non nul aleatoire X dans GF(q^n) et 

25 remplacer 1 ' accumulateur A=(A X/ A Y ,A Z ) par (^.A X ,X.A Y , 

X . A z ) 

2b) Remplacer A=(A X ,A Y ,A 2 ) par 2*(A X ,A Y ,A 2 ) en 

representation homogene, sur la courbe elliptique 

2c) Si d(i) est non-nul remplacer A=(A x ,A Y ,A z ) par 
30 (A x , A Y ,A z )+d(i) * (x,y, 1) en representation homogene, 

sur la courbe elliptique 

3) Si A z = 0 retourner le point a l'infini ; sinon retourner 
<Ax/A„ A Y /A 2 ) . 
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De fagon remarquable a 1'etape 2c, 1' addition sur la courbe 
elliptique se fait avec le point P-(x,y,l) dont la coordonnee en Z 
est egale a 1. 

5 

1) Tirer un element non nul aleatoire X dans GF(q A n) et 
initialiser 1 ' accumulat eur A=(A X/ A Y ,A Z ) avec le triplet 
{ A,, x, A, . y, A) 

2) Pour i allant de t a 0, executer : 

10 2a) Remplacer A={A X ,A Y ,A Z ) par 2*(A X ,A Y ,A Z ) en 

representation homogene, sur la courbe elliptique 
2b) Si d(i) est non-nul remplacer A=(A X ,A Y ,A Z ) par 
(A x , A Y/ A z ) +d (i) * (x, y, 1) en representation homogene, 
sur la courbe elliptique 
15 3) Si A z = 0 retourner le point a l'infini / sinon retourner 

(A x /A 2 , A Y /A Z ) . 

De fagon remarquable a 1'etape 2b, 1' addition sur la courbe 
elliptique se fait avec le point P=(x,y,l) dont la coordonnee en Z 
20 est egale a 1. 

De fagon generale, le procede de contre-mesure selon 
1' invention s' applique a tout algorithme d' exponentiation de type 
gauche-droite dans un groupe G, note de facon multiplicative ou 
25 additive. 
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REVINDICATIONS 

1 . Procede de contre-mesure dans un composant electronique 
mettant en oeuvre un algorithme cryptographique a cle 

5 publique, comprenant un calcul d ? exponentiation, avec un 

algorithme d' exponentiation de type gauche-droite, de type 
y=g /s d ou g et y sont des- elements du groupe determine G 
note de facon multiplicative et d est un nombre 
predetermine, caracterise en ce qu'il comprend une etape de 
10 tirage aleatoire, au debut ou durant 1' execution dudit 

algorithme d' exponentiation de fagon deterministe ou 
probabiliste, pour masquer 1' accumulateur A. 

2. Procede de contre-mesure selon la revendication 1, 
15 caracterise en ce que le groupe determine G est note de 

fagon additive. 

3. Procede de contre-mesure selon la revendication 1 
caracterise en ce que le groupe G est le groupe 

20 multiplicatif d' un corps fini note GF(q A n), n etant un 

entier . 

4. Procede de contre-mesure selon la revendication 3 
caracterise en ce que 1' entier est n egal a 1 : n=l . 

25 

5. Procede de contre-mesure selon la revendication 4 
caracterise en ce qu'il comprend les etapes suivantes : 

1) Determiner un entier k definissant la securite du 
masquage et donner d par la representation binaire 

30 (d(t), d(t-l), d{0)) ; 

2) Initialiser 1' accumulateur A avec 1' entier 1 

3) Pour i allant de t a 0, executer : 

3a) Tirer un entier aleatoire X compris entre 0 et 
k-1 et remplacer 1 ' accumulateur A par A+1 . q 
35 (modulo k . q) 
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3b) Remplacer A par A A 2 (modulo k.q) 

3c) Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 

5 6. Procede de contre-mesure selon la revendication 4 

caracterise en ce qu' il comprend les etapes suivantes : 

1) Determiner un entier k definissant la securite du 
masquage et donner d par la representation binaire 
<d(t), d(t-l), d{0)) ; 

10 2) Tirer un entier aleatoire X compris entre 0 et k-1 

et initialiser 1 ' accumulateur A avec 1' entier 1+A..q 
(modul o k.q) 

3) Pour i allant de t-1 a 0, executer : 

3a) Remplacer A par A"2 (modulo k.q) 
15 3b) Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 

7 . Procede de contre-mesure selon la revendication 2 
caracterise en ce l'algorithme d' exponentiation s' applique 

20 au groupe G des points d' une courbe elliptique defini sur 

un corps fini GF(q^n). 

8. Procede de contre-mesure selon la revendication 7 
caracterise en ce qu'il comprend les etapes suivantes : 

25 1) Initialiser 1' accumulateur A=(A x ,A y ,A 2 ) avec le triplet 

(x,y,l) et donner d par la representation binaire 
signee (d(t+l), d(t), d(0)) avec d(t+l)=l; 

2) Pour i allant de t a 0, executer : 

2a) Tirer un element non nul aleatoire X dans 
30 GF(q A n) et remplacer 1' accumulateur A=(A x ,A y ,A z ) par 

(X"2 . A X ,A, A 3 .A Y , X. A z ) 

2b) Remplacer A=<A X/ A Y ,A Z ) par 2*(A X/ A y ,A z ) en 
representation jacobienne, sur la courbe 

ell ipt ique 
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2c) Si d(i) est non-nul remplacer A=(A X ,A Y ,A Z ) 
par (A x , A Y , A z ) +d(i) * (x, y, 1) en representation 

jacobienne, sur la courbe elliptique 

3) Si A 2 = 0 retourner le point a l'infini ; sinon 
5 retourner <A X /(A Z ) A 2, A Y /(A 2 ) A 3). 

9. Procede de contre-mesure selon la revendication 7 
caracterise en ce qu'il comprend les etapes suivantes : 

1) Tirer un element non nul aleatoire X dans GF(q A n), 
10 .initialiser 1 ' accumulat eur A=(A X ,A Y ,A Z ) avec le 

triplet (A, A 2 . x, A, A 3 . y, X) et donner d par la 
representation binaire signee (d(t-fl), d(t), 
d(0) ) avec d(t+l)=l ; 

2) Pour i allant de t a 0, executer : 

15 2a) Remplacer A=(A x ,A y ,A z ) par 2*(A X ,A Y ,A Z ) en 

representation jacobienne, sur la courbe 

elliptique 

2b) Si d(i) est non-nul remplacer A= (A x , A Y , A z ) 
par (A x , A y , A z ) +d(i) * (x, y, 1) en representation 

20 jacobienne, sur la courbe elliptique 

3) Si A z =0 retourner le point a l'infini ; sinon 
retourner (A X /(A 2 ) /V 2, A Y /(A Z ) A 3). 



10. Procede de contre-mesure selon la revendication 7 
25 caracterise en ce qu'il comprend les etapes suivantes : 

1) Initialiser 1' accumulateur A=(A X ,A Y ,A Z ) avec le triplet 
(x,y,l) et donner d par la representation binaire 
signee (d(t+l), d(t), d(0)) avec d(t+l)=l ; 

2) Pour i allant de t a 0, executer : 

30 2a) Tirer un element non nul aleatoire X dans 

GF(q A n) et remplacer 1 ' accumulat eur A={A X/ A Y ,A Z ) par 
{X.A X ,X . A Y , X.Az) 

2b) Remplacer A=(A X/ A Y ,A Z ) par 2*{A X/ A Y/ A Z ) en 
representation homogene, sur la courbe elliptique 
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2c) Si d(i) est non-nul remplacer A=(Ax,A Yf A 2 ) 
par (A x ,A Y ,A z )+d(i) * (x,y, 1) en representation 

homogene, sur la courbe elliptique 

3) Si A z = 0 retourner le point a l'infini ; sinon 
5 retourner (A x /A 2 , A Y /A Z ) . 

11. Procede de contre-mesure selon la revendication 7 
caracterise en ce qu'il comprend les etapes suivantes : 

1) Tirer un element non nul aleatoire X dans GF(q A n), 
10 initialiser 1 ' accumula teu r A=(A X ,A Y ,A Z ) avec le 

triplet {X.Xfh.y, X) et donner d par la 
representation binaire signee (d(t+l), d(t), 
d(0) ) avec d(t+l)=l ; 

2) Pour i allant de t a 0, executer : 

15 2a) Remplacer A= (A x , A Y , A z ) par 2*(A X ,A Y ,A 2 ) en 

representation homogene, sur la courbe elliptique 

2b) Si d(i) est non-nul remplacer A= (A x , A Y , A z ) 
par (Ax / A Y , A 2 ) +d(i) * {x,y, 1) en representation 

homogene, sur la courbe elliptique 
20 3) Si A 2 = 0 retourner le point a 1'infini / sinon 

retourner (A x /A 2 , A Y /A Z ) . 



25 



12.Composant electronique utilisant le procede de contre- 
mesure selon 1'une quelconque des revendications 
precedentes . 



